Phishing. Cómo evitarlo y reclamar al banco.

Transformación digital y nuevas tecnologías

Sin querer desviarnos del objeto del presente artículo, que no es otro que dar ciertas recomendaciones en aras de evitar ser estafados por ciberdelincuentes, y en ese caso, cómo actuar para que el Banco nos reintegre la suma que en su caso nos hayan defraudado, sólo llamar la atención a la transformación digital que actualmente guía nuestro día a día, tal es así que instituciones públicas, empresas, y la sociedad en general, está adoptando las herramientas digitales como parte integral de su actividad, agilizando todo tipo de tareas, así podemos agendar citas con la administración, trabajar desde casa y mantener reuniones no sólo con otros compañeros, sino también con los clientes, hasta celebrar juicios, así ya no es necesario salir de casa para hacer la compra, o comprarnos un coche, transferir fondos o controlar nuestras cuentas bancarias desde sitios remotos, e incluso ser atendidos por nuestra doctora.

Todo ello es posible gracias a la tecnología que avanzan a pasos agigantados, fruto o resultado de lo que se conoce como “Inteligencia Artificial”, tema acuñado en el año 1956 por el informático Jhon Mc Carthy durante una conferencia de Darmouth, y que como tal es una rama de la informática dedicada a crear programas informáticos que puedan replicar el pensamiento humano, analizando conjuntos complejos de datos y mejorar su rendimiento sin la ayuda de humanos para perfeccionar su programación, lo que es mucho decir.

Esto es, a priori, elimina el error humano y el riesgo de cometerlos, siendo su disponibilidad veinticuatro horas, siete días a la semana, evita trabajos repetitivos, lo que redunda en la reducción de costes. Ahora bien, la otra cara de la moneda, es la posibilidad de su uso con fines maliciosos o delictivos, que de otro modo sería imposible cometer a no ser por el uso de esa Inteligencia Artificial, y con ello, la aparición de nuevos riesgos que pueden comprometer nuestra seguridad, en lo que se refiere en concreto a este artículo, a su bolsillo.

Nuevos riesgo: la ciberdelincuencia

De ahí, que, en este contexto, se haga necesario saber cómo actuar para protegernos de potenciales ciberdelincuentes, quien intentarán suplantar, tanto nuestra identidad, como la de terceros, sea la de la administración o ente público, una entidad privada, e incluso un amigo o familiar, el objetivo no es otro que poder acceder a sus datos personales y bancarios, y con ello, poder disponer de sus cuentas bancarias, sirviéndose para ello, mayormente sirviéndose de correos electrónicos, si bien también del envío de SMS, WhatsApp, e incluso la clonación de voz en caso de llamadas telefónicas.

El phishing: definición y ejemplos comunes

Entre estos fines delictivos como decimos, se encontraría el phishing, objeto de este artículo, que consiste en enviar una comunicación vía email de manera masiva al mayor número de direcciones con el fin de que quien lo reciba crea que quien lo hace es realmente de esa persona, institución pública o entidad financiera, y haga clic en un enlace, descarguen un archivo adjunto o envíen cierta información confidencial o realicen un pago.

Obviamente, y dependiendo del ingenio del ciberdelincuente, podrá tener más o menos apariencia de veracidad, y con ello, hacerles caer en el error, así se sirven de los logotipos, colores y formato de las fuentes de los correos electrónicos auténticos, ahora bien, para su tranquilidad, no todos los ciberdelincuentes son unos “maestros”, por lo que en la mayoría de los casos, para nuestra suerte, son fácilmente detectables.

De entrada, diremos que dichos mensajes son tan variados como variados el modus operandi del hacker, en muchos casos de manera burda, así en unos casos se tratará de la compra de un producto o servicio, en otras recibiremos una sanción de Hacienda, o al revés, nos dirán que nos ha sido concedida una subvención o devolución de no sabemos de qué impuesto, incluso la notificación de una multa de tráfico o de cualquier otro tipo, también se harán pasar por un seguro, o una entidad bancaria, aun cuando usted no trabaje con ellos, ya le digo, las posibilidades son ilimitadas, tantas como imaginación, y destreza técnica, tenga el ciberdelincuente.

Valga de ejemplo, lo que le sucedió a uno de nuestros clientes, en este caso, había recibido un email de un supuesto despacho de abogados, por el que le reclamaban el pago de una factura de un servicio de seguridad de una empresa archiconocida, la supuesta deuda ascendía a 800 euros, y le daban el plazo de 24 horas para proceder a su pago, en caso contrario, sería demandado. Pues bien, nuestro cliente, que viaja mucho, al ver que la reclamación de la factura venía de un despacho de abogados, lo dio por valido, procediendo a su pago en el link que indicaban, días más tarde cayó que con esa empresa de seguridad, no tenía contrato alguno, sino con otra. Tras abandonar éste el despacho, quien suscribe, intentamos ponerse en contacto con el supuesto despacho de abogados, en el número de teléfono que indicaban en el email, contestando una grabación, que repetía una y otra vez que los abogados estaban todos ocupados, y que nuestra llamada se encontraba la tercera en la lista de entrada, media hora después no quedo otra que colgar el teléfono, obviamente tampoco resultó entregado el email que se les remitió.

De ahí el termino phishing, pescar, tirar la caña, por si algún pescadito despistado, pica, como el pasó a nuestro cliente, pero créanme que no es el único, cada vez, más personas vienen al despacho por la misma razón.

Como hemos dicho, existen diferentes variantes de phishing, si bien las más habitual es aquella en la que los ciberdelincuentes suplantan la identidad de una persona o entidad remitiendo un correo electrónico, haciéndose pasar por el suplantado, lo más normal es que recoja una dirección o enlace, el cual si pincha le llevará hasta sitos de webs “maliciosos” o archivos infectados, en donde incluso, les pueden llegar a solicitar el pago de una suma de dinero para poder desalojarlo, lo que ni tan siquiera es cierto, aun cuando realice dicho pago, por lo que no le quedará otra que formatear la unidad.

También es propio, el phishing por sitios web, en la creencia de que uno está en la página correcta, y no en la réplica creada por los hackers, en este caso lo normal es que le sean solicitados sus datos personales y bancarios, incluso las contraseñas. Otra modalidad también muy extendida es el vishing, versión sonora del phishing, en este caso el ciberdelincuente le tratará de convencer de que le facilite sus datos por teléfono, o el smishing, igual objetivo, pero si bien en este caso, recibirá un SMS, en cualquiera de los casos, la “victima” en la creencia de estar recibiendo información o una petición de una entidad reconocida, accede al enlace facilitado y revela sus datos personales o/y bancarios.

Recomendaciones para de evitar ser estafados

Para intentar evitar caer en las redes de estos ciberdelincuentes, les daremos unas premisas o consejos que siendo muy simples, pero que sin lugar a dudas les servirán para poder detectar posibles engaños, y evitar quedarse con la cuenta a cero.

De entrada, algo tan básico, como es la propia lógica, hace unos años atrás, era muy normal recibir un SMS, por el que se nos decía que habíamos resultado ser los beneficiarios de una herencia millonaria de un señor de Nigeria, pero que para poderla cobrar, deberíamos proceder previamente al pago de unas tasas. Pues sí, hubo gente que se lo creyó, y llegó a pagar importantes sumas de dinero, por lo que no dudamos que quien acabase finalmente haciéndose rico, fuera el supuesto señor de Nigeria, no sean primos.

Otro detalle que nos puede servir para sospechar que el email que hemos recibido, no es tal, es que se dirigirán a ustedes sin nombrar su nombre, sino por palabras como, “estimado cliente”, “estimado nuestro”, “suscriptor” “ciudadano”, etc, esto es, el mensaje no estará dirigido personalmente a usted, lo que tiene su sentido, el primero porque no lo saben, y en segundo lugar, porque se lo mandan a un número ingente de personas.

Un tercer aspecto a tener en cuenta, no es otro que la premura por tener que llevar a cabo la gestión que le indican, lo normal es que para ello, el plazo que le den sea especialmente reducido, en algunos casos incluso a modo de una cuenta atrás, muy típico en casos en que le venden algún producto a un precio anormalmente reducido, o regalos para aquellas personas que contesten primero, incluso les dirán que han resultado agraciados con un premio, y que deberán abonar los tasas de la aduana, o el porte, en este caso entiendo que no haría falta decirlo, pero difícilmente le puede tocar a alguien un premio, en un concurso en el que no ha participado previamente.

También les puede ayudar a detectarlo, el hecho de que sean enlaces acortados, esto es, no se fíe de los dobles enlaces cuando consulte el correo electrónico, piense que los hackers crean versiones falsas de sitios legítimos que a simple vista parecen auténticas, pero que tras una lectura más detallada podrán ver que no son tales.

Un dato muy curioso, es que muchos de estos emails son de personas que no son residentes en España, y por tanto desconocen el idioma, lo que hace que se tengan que fiar de traductores que no siempre son del todo fiables, incluso con faltas de ortografía, o conociéndolo, lo hagan con expresiones que no son propias en España, por ejemplo, “La Republica de España” o “la policía federal de España”.

Y en especial, desconfíe de aquellos mensajes por el que se le ponga en conocimiento que se ha producido un inicio de sesión de algunas de sus cuentas bancarias, más cuando ni tan siquiera se trata de su entidad bancaria, lo normal en estos casos, si hace clic en la dirección que al respecto le indican, les llevará a otra dirección, obviamente nunca a la de la entidad bancaria, en donde allí les pedirán facilitar sus datos personales y bancarios, que servirán al ciberdelincuente para hacerse acceder con toda libertad a las suyas y detraerle sus fondos o realizar compras compulsivas.

Otro consejo que les ayudará para saber si está siendo víctima de un estafa, es que pase el ratón por encima del enlace o link que se le indique, para ver si coincide con la dirección oficial del link que dicen ser, pues en muchas ocasiones, en el email aparece una dirección en que aparece el nombre de la entidad, pero deben pinchar en otra distinta, pues bien, compruebe que el correo electrónico coincide con la persona o entidad que lo manda, en este sentido, y como prueba de que el link es seguro, todas las uris seguras aparecen con un https:// al principio.

Como decimos, el único objetivo del hacker no es otro que obtener un beneficio económico a su costa, bien, con la retirada de fondos de sus cuentas, bien cargando a su cuenta el pago de bienes o servicios varios, en este sentido recuerdo un cliente que desde su cuenta habían hecho hasta el pago de diez servicios en menos de una hora, ello a una empresa de organización de eventos con domicilio en Malta, lo que imposibilita reclamación alguna a ésta, no así, a la entidad bancaria, la cual, como veremos a continuación, en la mayoría de los casos, es culpable de dicha eventualidad.

Decíamos antes, que, a nuestro cliente, en menos de una hora le hicieron hasta 10 cargos a su cuenta, todos por sumas de 489 euros, y a una sociedad con domicilio en Malta a la que nunca había hecho anteriormente un pago, como podía ser, su comercializadora eléctrica, telefonía, el colegio de sus hijos, etc. Pues bien, el banco autorizó todos y cada uno de los pagos, cuando lo normal es que hubiera contactado con nuestro cliente en aras de confirmar los mismos, cierto que el banco no obtuvo beneficio alguno, ni fue el responsable de que hubieran estafado a mi cliente al facilitar su número de tarjeta en un parking, sino que lo es el tercero que se hizo con los mismos, ahora bien, los bancos tienen un deber proactivo de evitar que ello pueda suceder, adoptando todas aquellas medidas precisas y necesarias.

Cómo actuar en caso de ser víctimas de Phishing

De ahí, que la entidad bancaria tenga una responsabilidad cuasi objetiva respecto de las cantidades de las que se disponga sin autorización del titular, en este sentido, el Real Decreto Ley 19/2018 de 23 de noviembre, regula la responsabilidad de las entidades financieras en relación a las medidas que deben adoptar en cuanto a la seguridad y protección de sus clientes, que en resumidas cuentas, no son otras que disponer de un sistema de autentificación de alta seguridad que permita una supervisión de las transacciones, en aras de poder detectar y prevenir posibles actividades sospechosas, amén de campañas de información a los clientes para que puedan evitar dichos actos, en caso contrario, vendrán obligados a reembolsar a sus clientes las sumas detraídas.

El problema es que las entidades se amparan en dos circunstancias, la primera, en que ya había puesto en alerta a sus clientes de posibles estafas informáticas, la segunda, en que la negligencia es del cliente, que como tal es quien pone a disposición del hacker dicha información, si bien, dicha norma, recoge que corresponderá al proveedor de servicios de iniciación de pagos demostrar que dentro de su ámbito de competencia, la que la operación de pago fue autentificada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable, y consecuentemente, obligado a reponer al cliente con los fondos que en su caso hayan podido salir de su cuenta, sin que la entidad hubiera hecho nada para impedirlo.

Por tanto, es de suma importancia, que cuando sufra alguna estafa de este tipo, se lo comunique inmediatamente a su entidad bancaria, proceda a cambiar las contraseñas, y acudir a la policía nacional para hacer la correspondiente denuncia, ya no tanto para dar con el posible ciberdelincuente, que también, aunque difícilmente, sino para dejar constancia de ello, y que el banco se haga responsable, o incluso su seguro, si es que entre las coberturas de su póliza, se encontraba dicha eventualidad o riesgo.

Como hemos dicho, la entidad bancaria, intentará exculparse alegando que fue el propio cliente, quien con su actuar, posibilitó la estafa, al facilitar sus claves, y por tanto, incumpliendo su obligación de custodia, si bien, dicho extremo no exculpará a la entidad bancaria de su obligación de cuidado y vigilancia, ya que es lo cierto que en ningún caso, fue el cliente quien dio la orden de pago de manera consciente, sino un tercero con las claves de éste, vía ese engaño malicioso, tal y como impone la Ley 16/2009 de 13 de noviembre de Servicios de pago, en concreto en su artículo 45, recoge que cuando se ejecute una orden de pago no autorizada, el banco deberá reintegrar al cliente el importe de la operación, no debemos olvidar que el banco deberá remitir al cliente un SMS de aviso por cada operación de compra que reciba, el no hacerlo, impediría alertar al cliente y con ello, más detracciones o pagos.

En este sentido, es el propio Banco de España el que nos da unas pautas para llevar a cabo la reclamación contra la entidad bancaria. Así en primer lugar deberemos presentar un escrito ante los Servicios, Departamentos o Defensor del cliente de la misma, haciendo una narración de los hechos lo más clara y concisa que le sea posible, junto con la documentación de la que se disponga, como correos electrónicos, mensajes de texto, capturas de pantalla, etc.
Una vez la misma, dicho servicio dispondrá de determinado tiempo para contestar, dependiendo de que el cliente sea una persona física, bien sea una persona jurídica, en el primero de los casos, dispondrá del plazo del plazo de 15 días hábiles para dictar una resolución cuando la reclamación esté relacionada con algún servicio de pago, y del plazo de 1 mes, para el resto de reclamaciones; en el segundo caso, en plazo se amplía hasta los dos meses.

Una vez la misma, la entidad bancaria podrá o no contestar, lo normal es que lo haga, y que lo haga en el sentido de que ninguna responsabilidad se le puede imputar, al revés, que es culpa del cliente, también cabe que no diga nada, pues bien, en ambos casos, se podrá hacer ya una reclamación al Banco de España.
A este respecto, dicha reclamación se podrá hacer tanto por vía telemática, como por escrito, en el primer caso, directamente en el Registro General del Banco de España, y en el segundo por correo postal a la siguiente dirección, “Banco de España. Departamento de Conducta de Entidades, C/ Alcalá nº 48, Cp 28014 Madrid”, también a través de cualquiera de sus sucursales.

En cuanto al contenido del escrito de reclamación, no contiene especial complejidad, así deberá facilitar tus datos personales, nombre y apellidos, y DNI, si se trata de una persona física, y en caso de ser una persona jurídica, la denominación social, y el CIF, a continuación, la entidad bancaria contra la que se interesa la reclamación, y la sucursal afectada. Es fundamental, acompañar la reclamación que en su momento se hizo ante la entidad bancaria, así como la resolución que en su caso dictó, si es que lo hizo, así como la exposición de los hechos.

En cuanto al plazo para llevar a cabo la anterior, lo será de 5 años desde que se produjo la sustracción, ahora bien, una vez hecha la reclamación a la entidad bancaria, sólo se dispondría del plazo de un año desde que dictó su resolución, o bien transcurrió el correspondiente plazo (de quince días, un mes o dos).
El Banco de España, tras analizar la respuesta de la entidad, evaluará si la rectificación propuesta es admisible o no, ahora bien, lo cierto es que las resoluciones de dicha entidad, no son vinculantes, es decir, los bancos no están obligadas a rectificar su conducta, aun cuando el Banco de España considere que efectivamente la entidad bancaria es responsable, aunque lo normal es que siga su criterio, en caso contrario, habría que acudir a la vía judicial, en este caso, lo normal es que el dictamen sea tenido en cuenta por los jueces o tribunales que conozcan del litigio como opinión de autoridad.

Para el caso de que la entidad bancaria, no tenga a bien reintegrar la suma detraída de la cuenta, entonces habrá que acudir a la vía judicial, previo envío de un burofax en aras de intentar un último acuerdo, si mantiene su posicionamiento, entonces ya solo quedaría la interposición de la demanda, verbal u ordinaria, dependiendo que la suma a reclamar se encuentre por debajo de los 6.000 euros, o por encima, decir que a la misma se podrá acumular una acción por daños y perjuicios si estos se dieron, pudiendo tener cualquier alcance, y siempre que puedan acreditarse debidamente.

Una vez el banco reciba la misma, a la hora de oponerse, lo más seguro es que alegue que ninguna responsabilidad tuvo en tanto en cuanto fue el cliente quien facilitó al ciberdelincuente las claves de manera voluntaria, por mor, una negligencia grave en su actuar, que conlleva el incumplimiento del titular de su obligación de conservar las claves de seguridad.

Ahora bien, el criterio mayoritario de los Tribunales, incluido el Tribunal Supremo, pasa por valorar si existió “engaño bastante”, que excluiría la negligencia grave, de ahí que sea haga necesario ver caso por caso, y de que el juez valore las circunstancias que empujaron al usuario a facilitar dichas claves o el acceso a las mismas, o al revés, que el cliente actúo con negligencia grave, entendiendo ésta, como en no proceder ni siquiera con la más elemental diligencia, y por tanto, el único responsable del resultado lesivo, también lo sería, para el caso de que hubiera actuado de forma fraudulenta, extremos que en cualquier caso deberá acreditar el banco, quien igualmente vendrá obligado a acreditar que sus protocolos de seguridad son suficientes para evitar este tipo de fraudes, como pudiera ser, entre otras, aquellas medidas necesarias para asegurar la autenticación e identidad de quien ordena el pago, de ahí que sea muy importante guardar toda la documentación o pantallazos del móvil en su caso, que servirán también de prueba para acreditar la falta de diligencia del banco.

En definitiva, y a modo de cierre, lo cierto es que nadie está a salvo de ser engañado, pero si siguen los consejos que les hemos facilitado, será más complicado que los ciberdelincuentes se salga con la suya, recuerden que ninguna entidad, ni organismo público, le va a solicitar información personal o bancaria sensible, en caso de duda, lo mejor es que se ponga en contacto con atención al cliente de la entidad bancaria u organismo, en aras de confirmar la veracidad del emisor, y que antes de clicar, lea con detenimiento el email, o mensaje, y si tiene alguna sospecha, por leve que sea, nunca, facilite información personal alguna que no sea la estrictamente necesaria, así si se le pide que confirme la información de su cuenta, las credenciales de inicio de sesión, o cualesquiera otros datos personales, es muy probable que estén intentando engañarle, piense que es tal nivel técnico de estos ciberdelincuentes, que ni tan siquiera los entes públicos se salvan de sus actividades.